La continuidad del negocio

David Forner Gri

PID_00156355

 FUOC PID_00156355

La continuidad del negocio

Ninguna parte de esta publicacin, incluido el diseo general y la cubierta, puede ser copiada, reproducida, almacenada o transmitida de ninguna forma, ni por ningn medio, sea ste elctrico, qumico, mecnico, ptico, grabacin, fotocopia, o cualquier otro, sin la previa autorizacin escrita de los titulares del copyright.

 FUOC PID_00156355

La continuidad del negocio

ndice

Introduccin............................................................................................... 1. La gestin de la continuidad del negocio................................... 1.1. 1.2. 1.3. 2. 3. Gestionar la continuidad de negocio es un ciclo continuo ........ Requerimientos para gestionar la continuidad ........................... Objetivos de la continuidad de negocio .....................................

5 7 8 9 10 14 16 20 22 23

A nosotros no nos pasar................................................................. Por qu necesitamos un plan de continuidad?........................ 3.1. La percepcin real de tener o no tener un plan de continuidad .................................................................................

4.

Beneficios por gestionar la continuidad del negocio............... 4.1. Qu significa para la organizacin gestionar la continuidad? ...

5.

Grado de madurez de los planes de continuidad. Estado del arte.................................................................................................. 5.1. 5.2. 5.3. Evolucin de los planes de continuidad ..................................... La regulacin y estandarizacin de los planes de continuidad ... Estado del arte ............................................................................. 24 24 25 29

6.

Relacin entre la gestin de planes de continuidad y la gestin de riesgos............................................................................... 33 35 37

7.

Enfoque de los planes. Terminologas..........................................

Resumen.......................................................................................................

 FUOC PID_00156355

La continuidad del negocio

Introduccin

El concepto central de toda esta asignatura es el concepto de "continuidadde negocio". Por lo tanto, lo primero que vamos a hacer es definirlo:
La continuidad de negocio es la capacidad tctica y estratgica de una organizacin para planificar y responder a incidentes o interrupciones de negocio a fin de continuar las operaciones de negocio a un nivel aceptable predefinido. Clusula 2.3 de la norma BS 25999-2:2007.

Resumiendo la idea en pocas palabras, el inters de cualquier organizacin es seguir operando ante cualquier situacin de desastre/contingencia que ponga en peligro su continuidad.
Figura 1. La continuidad del proceso est garantizada

A modo de ejemplo, todos estamos acostumbrados a disponer en nuestras casas de luz, agua, etc. Imaginemos que la compaa elctrica a la que contratamos el servicio se ve afectada por un incendio que quema las principales subestaciones elctricas de nuestra ciudad. Uno se pregunta: aceptara el cliente, es decir nosotros, estar dos das sin luz? Pues esta es, de forma sencilla, la pregunta que cualquier organizacin como la compaa elctrica del ejemplo debera hacerse: puedo no dar electricidad a mis clientes durante dos das? Con este ejemplo queremos transmitiros que la continuidad de negocio es una idea que afecta a todas las organizaciones, de las ms grandes a las ms pequeas, y que debe considerarse como uno de los elementos de xito y de futuro de cualquier organizacin.

 FUOC PID_00156355

La continuidad del negocio

1. La gestin de la continuidad del negocio

Despus de explicar el significado de la "continuidad del negocio", uno se pregunta: Cmo lo debo hacer? Qu necesito para conseguir este objetivo? Para conseguirlo, se debe establecer un proceso de "gestin de la continuidad de negocio". La norma BS25999-2 (clusula 2.3) define la gestindelacontinuidaddelnegocio(GCN) como:
Proceso de gestin holstico que identifica las amenazas potenciales para una organizacin y el impacto en las operaciones de negocio que esas amenazas podran causar si se materializasen, y que proporciona un escenario para la incorporacin de resiliencia con la capacidad de respuesta efectiva para proteger los intereses de los accionistas, las partes interesadas, la imagen, marca o actividades de valor.

En definitiva, la gestin de continuidad de negocio es un proceso integral de gestin que identifica los posibles impactos que amenazan a una organizacin y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes y dems partes interesadas, la reputacin, la marca y las actividades creadoras de valor.

La GCN tiene que ser asimilada y totalmente integrada en la organizacin como uno ms de sus procesos de gestin.

La GCN aspiraamejorarlacapacidadderecuperacindeunaorganizacin. Al identificar por adelantado los posibles impactos de una amplia gama de incidencias que trastornaran de forma sbita el xito de la organizacin, establece prioridades para los esfuerzos de los especialistas en implantar robustez en sus respectivas reas de especializacin, como seguridad, instalaciones y tecnologas de la informacin. Si bien se interesa por todo tipo de mecanismos de fortaleza o robustez, la GCN se centra particularmente en desarrollarunacapacidadderecuperacinque seaconjuntaparatodalaorganizacinylepermitasobreviviralaprdidatotaloparcialdesucapacidadoperativa. Tambin debera enfocarse en soportar prdidas significativas de recursos, como personal o maquinaria. Debido a que la capacidad de resistencia de la GCN de una organizacin depende de su equipo de gestin y de su personal (adems de su tecnologa y la diversificacin geogrfica), se debe desarrollar esta capacidad de recuperacin en todos los niveles de la organizacin, desde la alta direccin hasta el "taller", y en todos los dems integrantes de la cadena de valor.

 FUOC PID_00156355

La continuidad del negocio

El factor determinante de esta robustez en toda la organizacin se sustenta en la responsabilidad de la alta direccin de proteger los intereses a largo plazo del personal, clientes y todos aquellos que dependen de algn modo de la organizacin. Si bien se pueden calcular las prdidas financieras ocasionadas por una interrupcin, generalmente el mayor dao suele reflejarse en una prdida de imagen o de confianza fruto de un incidente mal gestionado. Del mismo modo, un incidente bien gestionado puede mejorar la imagen de la organizacin y de su equipo de gestin. 1.1. Gestionar la continuidad de negocio es un ciclo continuo Cuando utilizamos el trmino "gestin de la continuidad" debemos entenderlo como un proceso continuo que la organizacin lleva a cabo para garantizar que los planes de continuidad de la organizacin sean efectivos en el tiempo y bajo las circunstancias de cada momento en la organizacin. Como veremos ms adelante, la continuidad es un concepto que ha evolucionado y avanzado mucho en los ltimos aos, porque las organizaciones han entendido que no hablamos de una simple recuperacin de datos o un proceso de backup. Nos hemos dado cuenta de que la continuidad del negocio es un proceso que debe ser gestionado de forma continua y en el que debe involucrarse a toda la organizacin. No nos sirve decir "yo gestiono la continuidad de mi empresa porque tengo un documento o plan en el armario que me protege". Esto no es suficiente, puesto que gestionar mi continuidad implica: Adaptar mi plan de forma constante a los cambios de mi organizacin. Debe estar "vivo". Formar al personal de mi organizacin de forma peridica para que sepa cmo actuar en cada momento si se produce una contingencia. Probar el plan peridicamente (por ejemplo, una o dos veces al ao) para asegurarme de que funciona y puedo estar tranquilo. Revisar y actualizar todos los documentos del plan.

Por lo tanto, veis que la gestin de la continuidad de negocio es necesaria. No me sirve hacer una foto de cmo estoy hoy, si dentro de un ao seguramente muchas cosas habrn cambiado.
Plan de continuidad Imaginad que desarrollo un plan de continuidad en el que uno de los documentos del plan son los telfonos de las personas clave de la organizacin que intervendrn decisivamente en el caso de producirse un incidente. Qu pasara si el da en que sucede el incidente, el telfono que consta en el documento no est actualizado? Qu pasara si la persona que debe coordinar todas las acciones, est enferma y no he previsto un sustituto o bien el sustituto est de vacaciones? Es un ejemplo sencillo, pero que pone de manifiesto que "si no gestiono, la continuidad no est garantizada".

 FUOC PID_00156355

La continuidad del negocio

En esta lnea, y dada la importancia creciente del asunto, algunas organizaciones se han preocupado por estandarizar y normativizar un modelo de gestin de la continuidad de negocio, alineado completamente con los modelos de gestin de otras normas existentes y que nos permiten gestionar el ciclode vidadelacontinuidaddelnegocio. Mostramos a continuacin el modelo desarrollado por la norma British Standard para la gestindelciclodevidadelacontinuidaddelnegocio:
Figura 2. Ciclo de vida de la continuidad del negocio

Fuente. The lifecycle diagram, BSI British Standards BS 25999-1

Este modelo de gestin se desarrollar con ms detalle en el apartado "Metodologa" y posteriores, donde se explicarn las fases que hay que seguir para desarrollar un plan de continuidad dentro de la organizacin, que deberemos gestionar de la mejor forma posible para garantizar su efectividad. 1.2. Requerimientos para gestionar la continuidad El inters de una organizacin por gestionar la continuidad de su negocio y garantizar su operatividad frente a situaciones de desastre le obliga a: Conocermuybiensunegocio y sus activos ms crticos (personas, puestos de trabajo, sistemas de informacin). Evaluarlosriesgos y gestionarlos.

 FUOC PID_00156355

10

La continuidad del negocio

Evaluaryvalidarlasestrategiasdecontinuidad para que siempre respondan a las exigencias del negocio. Disponerdeplanesdecontinuidad y recuperacin que permitan recuperar los procesos de negocio ms crticos. Verificar peridicamente, mediante pruebas, quelosplanesfuncionan. Atenderacambios que puedan alterar la situacin y obliguen a revisar las medidas y procedimientos de continuidad existentes.

Cuando hablamos de continuidad de negocio, no hablamos slo de continuidad tecnolgica. Hablamos de continuidad de procesos, de personas, de puestos de trabajo disponibles, de sistemas de informacin, de comunicaciones, etc. Es importante no olvidar esta idea.

1.3. Objetivos de la continuidad de negocio Cuando una organizacin decide afrontar un proyecto de continuidad de negocio persigue habitualmente los objetivos que se muestran a continuacin: 1) Coste Minimizarlasprdidasderivadasdeunacontingencia. Es el principal objetivo de un plan de continuidad. Las empresas invertirn dinero en continuidad con la intencin de que si pasa algo, sern capaces de garantizar el servicio. Optimizarelrendimientodelainversin. Las organizaciones que invierten en planes de continuidad intentan ajustar el presupuesto al mnimo indispensable para garantizar la operatividad de sus procesos ms crticos en situaciones de contingencia. 2) Coberturaderiesgos Cubrirlosriesgosqueseconsiderendemayorimpactoparalaorganizacin. Puesto que la cobertura de todos los riesgos de una organizacin es imposible y tendra unos costos inalcanzables, las organizaciones analizan los riesgos que pueden tener un mayor impacto en la organizacin e intentan mitigarlos de la forma ms econmica y eficiente posible. Asumirriesgosresidualesconmenorprobabilidadeimpacto. Las organizaciones focalizan sus inversiones para tratar de mitigar los riegos de mayor probabilidad e impacto. Los de menor probabilidad e impacto son aceptados o transferidos a terceros. Minimizarelriesgodetrabajarconterceros. Las organizaciones que trabajan con terceras empresas deben ser conscientes de los riesgos que

 FUOC PID_00156355

11

La continuidad del negocio

ello representa (control insuficiente de los procedimientos, inexistencia de planes de continuidad por parte del proveedor). Minimizarlosproblemaslegales/regulatorios. Algunos sectores estn obligados a desarrollar planes de continuidad para garantizar un adecuado nivel de servicio y cumplir con requerimientos legales. Sera el caso, por ejemplo, de los requerimientos de continuidad de la ley americana Sarbanes-Oxley Act (SOX) para las empresas que cotizan en la bolsa de Nueva York, o de Basilea 2, que afecta a las entidades financieras. Protegerlaimagenpblicaylaconfianzaenlaempresa.

3) Tiempoderestauracin Minimizar el tiempo de restauracin. El objetivo es minimizar el tiempo de interrupcin de los procesos afectados por la contingencia. Restablecerlasoperacionestecnolgicasydesoportealasoperacionesdenegociosensiblesaltiempo. Minimizarelimpactodeladiscontinuidad. Minimizar la improvisacin (simplificar la toma de decisiones). El desarrollo de un plan de continuidad permite preestablecer las acciones que se deberan seguir para restaurar la operativa del negocio. Automatizartodoaquelloqueseaposible. Puesto que las situaciones de desastre/contingencia acostumbran a ser situaciones poco previsibles, es recomendable automatizar todo aquello que podamos para reducir la actividad humana al mnimo necesario. 4) Gradodecobertura Recuperacininmediatadelosprocesosmscrticos. Disponer de planes de recuperacin para todos los procesos es costoso para la organizacin, por lo que es recomendable empezar con los procesos que son ms crticos y esenciales para garantizar la continuidad del negocio. 5) Culturadecontinuidad Crear una cultura de continuidad en la organizacin. Involucrar a la organizacin es uno de los objetivos y elementos clave del xito de cualquier plan de continuidad de negocio. Es necesario formar y concienciar a todo el personal para alcanzar los objetivos.

 FUOC PID_00156355

12

La continuidad del negocio

Lacontinuidaddebeser"Mandatory(obligatoria)". La continuidad no puede ser slo cosa de unos cuantos, sino que toda la organizacin debe ser siempre parte involucrada.

Tranquilizar (reducir la incertidumbre). El plan debe dar tranquilidad a la propia organizacin. Es un avance el poder pensar que ests protegido frente a desastres y que dispones de mecanismos para afrontar situaciones difciles que podran poner en peligro tu negocio.

El siguiente grfico (figura 3) resume los objetivos que una organizacin acostumbra a tener presentes cuando se plantea acometer el desarrollo de un plan de continuidad:
Figura 3. Objetivos de la continuidad de negocio

Como se observa en el grfico anterior (figura 3), la combinacin de objetivos parciales es la que definir la estrategia de continuidad que acometer la organizacin. Esta estrategia tratar de optimizar la relacin entre los costes de implantacin de la estrategia adoptada con las potenciales prdidas econmicas y otros impactos originados por una contingencia. El siguiente grfico pone de manifiesto la necesidad de la organizacin de definir la ventana de interrupcin que la organizacin considerar admisible ante una situacin de contingencia. Debemos tener en cuenta que cunto menor sea la ventana de interrupcin, ms elevados sern los costes para la organizacin (se necesita ms personal, mucha ms redundancia en los sistemas de informacin y la infraestructura, comunicaciones en alta disponibilidad, etc.).

 FUOC PID_00156355

13

La continuidad del negocio

Figura 4. Ventana coste-tiempo

 FUOC PID_00156355

14

La continuidad del negocio

2. A nosotros no nos pasar

Una de las respuestas ms habituales cuando hablamos de continuidad de negocio y de posibles amenazas que podran poner en peligro la supervivencia de una organizacin es: "A nosotros no nos pasar". Muchas organizaciones consideran que por el mero hecho de no haber sufrido ningn incidente en el pasado, el futuro ser igual o mejor. Y, evidentemente, es un gran error. Cualquier organizacin por grande o pequea que sea puede ser vctima de un desastre, por muy inverosmil que esto nos pueda parecer. Siempre tenemos la sensacin que las cosas slo les pasan a los dems y no a nosotros. Tambin nos encontramos con organizaciones que te dicen: "ya lo pagar todo la compaa de seguros", o bien "por qu tengo que gastar dinero en protegerme de algo que probablemente nunca pasar?". La gran cantidad de negocios que han desaparecido despus de sufrir un incidente sugiere que estas respuestas se sustentan en premisas falsas. Si bien las bombas, incendios e inundaciones acaparan los titulares de los medios de comunicacin, el 90% de las incidencias que ponen en riesgo el negocio son "catstrofes silenciosas" que no figuran en los medios pero que pueden tener un efecto devastador para el buen funcionamiento de una organizacin. Vemos algunos ejemplos: Que un proveedor, al que tengo contratado un servicio crtico, no cumpla con los niveles de servicio mnimos exigidos. Imaginemos que nuestro distribuidor de mercancas tiene una incidencia que le impide entregar nuestras mercancas a tiempo. Que la mitad de los empleados de nuestra organizacin se pongan enfermos y nuestro servicio se vea afectado. Que nuestro proveedor de comunicaciones tenga una incidencia que nos impida transmitir informacin crtica a nuestros clientes durante varias horas. Que nuestros sistemas se vean afectados por un virus informtico qu en la mayora de casos no es notificado a los medios. A la hora de gestionar cualquier acontecimiento, el xito se mide tanto por la respuesta tcnica dada como por la competencia de su equipo gestor.

 FUOC PID_00156355

15

La continuidad del negocio

Podemos decir que las organizaciones que se ven afectadas por catstrofes se dividen en dos grupos muy claros: las que tienen capacidad para recuperarse y las que no. Cuando una organizacin ha lidiado una crisis con xito, el valor de sus acciones ha crecido a largo plazo, mientras que aquellas que se considera que no han gestionado bien su crisis vieron caer el precio de sus ttulos y, pasado un ao, seguan sin recuperarse. Investigaciones ms recientes demuestran que aquellas organizaciones que destinan un mayor presupuesto a control de riesgos, GCN y buen gobierno son las empresas ms rentables en su sector, lo que indica que la GCNesuna inversin,nouncoste. Un elemento clave para el xito de los programas de GCN es que las distintas responsabilidades se asuman en los niveles apropiados de la organizacin. En estas empresas las implicaciones de la GCN se evalan en todas las etapas del proceso de desarrollo de nuevos productos y forman parte del proceso de control del cambio.

 FUOC PID_00156355

16

La continuidad del negocio

3. Por qu necesitamos un plan de continuidad?

Despus de tantas explicaciones uno se pregunta: pero realmente es necesario un plan de continuidad? La mejor forma de comprender por qu es un tema que no debe pasar por alto ninguna organizacin es a partir de hechos, de noticias que han ocurrido en el pasado y que deben ser una fuente de aprendizaje para el futuro. Mostramos a continuacin un conjunto de casos reales y estadsticas/estudios significativos: Ataque a las Torres Gemelas de Nueva York el 11 de septiembre del 2001. El atentado de las Torres Gemelas de Nueva York es un ejemplo muy significativo en trminos de continuidad de negocio, sin entrar en detalles de las devastadoras y desgraciadas consecuencias que tuvo este triste episodio. Desde el punto de vista empresarial, las organizaciones que disponan de un plan de continuidad fueron capaces de mantenerse "a flote" a pesar de todo. Algunas empresas tenan previsto el desplazamiento de personas a otros centros para seguir trabajando, disponan de un centro de proceso de datos en otra ubicacin en la que pudieron recuperar muchos de sus sistemas de informacin y seguir dando el servicio a sus clientes.
Figura 5. Atentado de las Torres Gemelas de Nueva York

Hay que remarcar que la sociedad empresarial americana est muy concienciada de la necesidad de disponer de planes de continuidad cuando se crea una empresa.

 FUOC PID_00156355

17

La continuidad del negocio

IncendioeneledificioWindsordeMadridel12defebrerodel2005. El caso del edificio Windsor es uno de los episodios ms recientes en Espaa, donde se puso en prctica un plan de continuidad. En este caso, una empresa muy afectada por el desastre fue capaz de distribuir al personal del edificio en otras sedes de la empresa, pudieron recuperar mucha de la informacin al disponer de procedimientos de backup y recuperacin eficientes, y en definitiva, pudieron garantizar la continuidad de sus servicios. Todo ello favoreci finalmente la reputacin y buena prctica de la organizacin.

Figura 6. Lo que le pas a la Torre Windsor

No todo fue positivo, puesto que hubo empresas que perdieron mucha documentacin en papel (en algn caso, muy crtica), lo que tuvo consecuencias negativas para su negocio. Desastresnaturalesportodoelmundoytodoslossitios.

Figura 7. Inundaciones, huracanes, terremotos

 FUOC PID_00156355

18

La continuidad del negocio

Incendios
Colapsadas las operaciones de Iberia en todo el mundo por un incendio en Madrid Los tcnicos trabajan en la reparacin del sistema informtico, afectado por las llamas mientras que los vuelos sufren retrasos de una hora. ste es el segundo fallo que sufren sus servicios informticos en una semana. Iberia ha cancelado hasta las 18:00 horas un total de nueve vuelos y contina registrando un retraso medio en sus vuelos de entre media hora y hora y cuarto en todos los aeropuertos en los que opera, como consecuencia del incendio declarado a las 10. 00 horas de hoy en sus sistemas informticos centrales localizados en el Polgono de la Muoza (Madrid), informaron a Europa Press fuentes de la aerolnea. Como consecuencia del incendio, las operaciones de facturacin, embarque y entrega de equipajes se estn realizando a mano en todos los aeropuertos donde la compaa opera en Espaa y en el resto del mundo. Aunque el fuego ha sido controlado, Iberia augura un da complicado para volar.

Pandemias. Sin intencin de poner el miedo en el cuerpo a nadie, un ejemplo de amenaza que puede obligar a las empresas a activar un plan de continuidad son las pandemias. Como podis ver en el grfico, las pandemias no son algo nuevo. Durante el siglo XX se han producido pandemias de gripe realmente devastadoras donde murieron muchas personas. Uno se pregunta: en qu me afecta una pandemia a mi empresa? Pues podra afectarme mucho. Te puedes preguntar: qu hago si en mi departamento todos nos ponemos enfermos? Cmo puedo dar el servicio?

Figura8

Figura 9

Fuente: Presentacin del Dr. Xavier Badia del 12-2-2009 sobre "Gripe Pandmica Impacto Socio Sanitario"

Evidentemente, este tipo de amenaza tiene una probabilidad de materializacin muy baja, pero la hay. Dejaremos que las empresas decidan qu riesgos quieren aceptar, transferir y cules mitigar. Estadsticas/estudios

 FUOC PID_00156355

19

La continuidad del negocio

El treinta por ciento de las empresas que sufren una catstrofe incendio, inundacin, terremoto nunca vuelve a abrir sus puertas. Un 29% adicional cierra en el plazo de dos aos del desastre. Las empresas no pueden costear el cese de actividad y, especialmente, no pueden permitirse estar sin sus sistemas informticos principales de los que depende su negocio. El estudio de META Group indica que las empresas privadas de sus sistemas informticos bsicos durante 10 das nunca se recuperan econmicamente y que el 50% de esas empresas cierra en el plazo de cinco aos. Meta Group "Dos de cada cinco empresas que experimentan un desastre estn abocadas a quedar fuera del mercado en un plazo de cinco aos". Gartner "Slo el 6% de las empresas que experimentan prdidas catastrficas de datos logran sobrevivir; el 43% nunca podr reabrir su negocio y el 51% cerrar en dos aos". Universidad de Texas El 80% de las empresas afectadas por un incidente grave cierran en 18 meses El 90% de las empresas que pierden datos a causa de un desastre cierran en el plazo de 2 aos Slo el 47% de las organizaciones tiene establecido un plan de continuidad de la actividad El 94% de las organizaciones que recurri a su plan de continuidad de la actividad admiti que haba reducido significativamente el impacto de la alteracin El 43% de las organizaciones se vio afectada por prdidas informticas, mientras que una de cada tres perdi personal (35%) El 30% se vio afectada por prdidas en las telecomunicaciones

Chartered Management Institute Business Continuity Survey

Plantear casos reales y conocer datos de cmo evolucionan las organizaciones que no tienen un plan de continuidad de negocio es una forma de darse cuenta de que no estamos tratando un tema anecdtico. Se trata de un tema muy serio y los acontecimientos pasados nos han demostrado que aquellas organizaciones que haban invertido en seguridad y continuidad fueron capaces de hacer frente a muchos de los desastres acontecidos. Circunstanciasquepuedenjustificardisponerdeunplandecontinuidad. El siguiente grfico (figura 10) nos muestra las diversas situaciones que podran poner en situacin de riesgo a muchas organizaciones. Debemos tener en cuenta esta informacin, pues puede sernos muy til a la hora de tomar decisiones sobre qu queremos proteger y qu no.

 FUOC PID_00156355

20

La continuidad del negocio

Figura 10. Estadstica de amenazas que pueden afectar a una organizacin

3.1. La percepcin real de tener o no tener un plan de continuidad Para hacernos una idea de lo que implica gestionar bien o mal la continuidad de un negocio, mostramos el resultado de un estudio desarrollado por Oxford Executive Research el 1996 sobre el impacto de las catstrofes en el valor de las acciones de una organizacin.

 FUOC PID_00156355

21

La continuidad del negocio

Figura 11. Impacto de las catstrofes en el valor de las acciones de una organizacin

Fuente: Rory F. Knight & Deborah J. Pretty

El grfico anterior (figura 11) demuestra que la organizacin que pudo recuperarse al disponer de un plan mejor su reputacin y confianza por parte de los clientes hasta el punto de que el valor de sus acciones creci. En el caso de la otra organizacin, la que no dispona de un plan de continuidad, sufri las consecuencias de un desastre con elevadas prdidas econmicas, dificultades y una pobre percepcin sobre la capacidad de gestin de situaciones como la ocurrida.

 FUOC PID_00156355

22

La continuidad del negocio

4. Beneficios por gestionar la continuidad del negocio

Gestionar la continuidad del negocio de una organizacin y disponer, por lo tanto, de un plan aportar los siguientes beneficios: Seremos capaces de identificar de forma proactiva los impactos de una contingencia operacional. Dispondremos de un plan de respuesta a incidentes que minimizar el impacto de un desastre en la organizacin. De no ser as, una contingencia podra poder en peligro la supervivencia de una organizacin. Reduciremos la probabilidad de interrupcin del servicio o de la produccin. Minimizaremos las prdidas financieras. Fortaleceremos el trabajo en equipo en situaciones de crisis. El espritu de equipo que se crea durante la buena gestin de un incidente puede mejorar el resultado de un negocio mucho despus de que el problema se haya solucionado. Permite demostrar un plan de respuesta creble mediante la ejecucin de pruebas. Puede mejorar la reputacin de la organizacin al ser capaces de garantizar la continuidad de las operaciones en situaciones de contingencia. Puede aportar una ventaja competitiva al garantizar el servicio a los clientes. A modo de ejemplo, las empresas que venden a otras empresas han recurrido a la GCN como ventaja competitiva para lograr nuevos clientes y mejorar sus mrgenes al incorporarla a su poltica de atencin al cliente. Por el contrario, no disponer de un plan de continuidad puede conllevar la prdida de competitividad. Aporta cumplimiento legal a algunas organizaciones que, por el tipo de negocio, estn obligadas a disponer de planes de continuidad (por ejemplo, el sector financiero). Pero la motivacin principal para instaurar la GCN no debe centrarse en las cuestiones de buen gobierno u obligaciones legales, sino que su puesta en marcha agrega valor a una organizacin y a los productos y servicios que ofrece.

 FUOC PID_00156355

23

La continuidad del negocio

4.1. Qu significa para la organizacin gestionar la continuidad? Una pregunta que nos podemos plantear es: cmo afecta a la direccin, al personal, a la operativa y a mi negocio la decisin de abordar el desarrollo de un plan y gestionarlo? En la siguiente tabla (figura 12) intentamos resumir los principales aspectos que la direccin debera considerar:
Figura 12. Principales aspectos a considerar por la direccin

 FUOC PID_00156355

24

La continuidad del negocio

5. Grado de madurez de los planes de continuidad. Estado del arte

5.1. Evolucin de los planes de continuidad Como nosotros lo entendemos, el concepto o idea de "plan de continuidad" es un concepto muy actual. La situacin hoy en da es el resultado de una continua evolucin, muy condicionada por el rpido avance de las tecnologas de la informacin. Todo ello ha contribuido a que los procesos de negocio actuales exijan unos tiempos de respuesta ante incidentes que nadie se podra imaginar hace dos dcadas. Alguien se imagina en la sociedad actual una empresa que no disponga de correo electrnico o de Internet durante una semana, o durante unas horas? Seguro que muchos contestarais que eso es imposible, que no tendra sentido ir a trabajar. La evolucin de los planes de continuidad ha sido rpida pero an tiene mucho camino por recorrer. En el grfico siguiente (figura 13) resumimos de forma general grandes etapas de su evolucin.
Figura 13. Etapas de evolucin de los planes de continuidad

Las tres grandes etapas de evolucin de los planes de continuidad son las siguientes: Etapadebackup. En esta primera etapa, las empresas centraban sus esfuerzos en proteger la informacin mediante procesos de respaldo y recuperacin de datos. Eso era suficiente puesto que la prioridad no era la recuperacin rpida de los sistemas.

 FUOC PID_00156355

25

La continuidad del negocio

Etapadecontingencia. En la segunda etapa, las organizaciones centraban sus esfuerzos en proteger sus sistemas, sus centros de procesamiento de datos, sus aplicaciones, etc. Por lo tanto, se daba un paso ms, y no slo eran los datos lo ms importante, sino tambin el tiempo de recuperacin de las infraestructuras (comunicaciones, servidores, etc.).

Etapadecontinuidad. En la tercera y ltima etapa, las organizaciones se dieron cuenta de que la informacin, los sistemas, las redes, etc. eran importantes pero lo ms importante era el alineamientoentreelnegocio y las medidas de proteccin y recuperacin disponibles. No solo era importante la recuperacin TIC (tecnologas de la informacin y comunicacin), sino tambin considerar a las personas, a los puestos de trabajo, a las personas clave en el proceso de recuperacin, etc.

Actualmente la mayora de organizaciones han superado la etapa de backup y se encuentran o bien en la etapa de contingencia, o bien en la etapa de continuidad. La gran mayora an concentran sus esfuerzos en la recuperacin tecnolgica, aunque muchos de ellos son conscientes de que para garantizar la continuidad de sus procesos deben madurar hacia la tercera etapa. Uno de los aspectos que ms ha frenado la evolucin hacia un modelo de continuidad ha sido el modelo organizativo de la continuidad. En muchas organizaciones, el liderazgo de los planes lo ha asumido la direccin TIC lo que ha convertido los planes en puros planes de recuperacin tecnolgicos. Para evolucionar hacia un modelo que tenga en cuenta el negocio, sus procesos, por encima de todo, debe involucrarse a la direccin del negocio, que es la que determina cules son los niveles aceptables e inaceptables de servicio. Con ello no queremos menospreciar la importante labor de las reas tecnolgicas (ni mucho menos) pero debemos comprender que la continuidad del negocio debe ser liderada por el negocio. 5.2. La regulacin y estandarizacin de los planes de continuidad En los ltimos aos se ha detectado un creciente inters por parte de entidades reguladoras (administraciones) y organizaciones internacionales de estandarizacin en incorporar los planes de continuidad dentro de su marco de actividad. Se estn buscando garantas de que las organizaciones dispongan de planes de continuidad, operativos y actualizados, y que su desarrollo se alinee con las mejores prcticas del mercado (estndares). Este inters es el que nos ha llevado a disponer en la actualidad de regulaciones, normas y estndares como: 1)Regulaciones

 FUOC PID_00156355

26

La continuidad del negocio

a)LeyOrgnicadeProteccindeDatosdeCarcterPersonal(LOPD). Nacida en 1999 (evolucin de la derogada LORTAD) con la voluntad de proteger la informacin de carcter personal. Establece medidas tcnicas y organizativas para garantizar la disponibilidad de la informacin, as como medidas para proteger de su uso no autorizado. b)Basilea2ComitdeSupervisinBancariadeBasilea. Se proponen medidas para proteger a las entidades financieras frente a los riesgos financieros y operacionales. Entre las medidas para alcanzar estos niveles de proteccin se encuentra el desarrollo de planes de continuidad y recuperacin. c)Sarbanes-OxleyAct(SOX). Nacida en el 2002 de la voluntad de controlar a las empresas que cotizan en la bolsa de Nueva York y sus filiales, para evitar que los procesos con transacciones econmicas pudieran ser alterados de forma fraudulenta. Establece requerimientos de seguridad relacionados con la continuidad del negocio (los artculos 302, 404 y 409 afectan a la continuidad de negocio). Hace varios aos que la SOX traspas las fronteras y actualmente existen versiones de la misma en Japn (llamada J-SOX) o en la Unin Europea (llamada EuroSOX).
Figura 14

d)Otras(quenoprofundizaremosenestaasignatura): Gubernamentales: EE.UU.: legislacin federal, Continuity of Operations Planning (COOP) UK: Civil Contingencies Bill

Finanzas UK: Financial Services Act Australia: Prudential Regulation Authority EE.UU.: Gramm-Leach-Bliley Act EE.UU.: Expedited Funds Availability Act EE.UU.: SAS70 audit reports EE.UU.: FDIC OCC

 FUOC PID_00156355

27

La continuidad del negocio

Salud EE.UU.: Health Insurance Portability and Accountability Act (HIPAA)

Empresasdeserviciospblicos EE.UU.: Federal Communications Commission (FCC) EE.UU.: Environmental Protection Agency (EPA) EE.UU.: State Departments of Environmental Services and Public Utilities Commissions/ Public Services Commissions.

2)Normas,estndaresybuenasprcticas a) ISO/IEC27001/27002: ambas ISO contemplan la continuidad de negocio como un elemento clave dentro de la gestin de la seguridad de la informacin. En su captulo 14 de la ISO27002 se tratan los siguientes aspectos de la continuidad del negocio. 14.1 Aspectos de la seguridad de la informacin de la gestin de la continuidad del negocio: 14.1.1 Incluir la seguridad de la informacin en el proceso de gestin de continuidad del negocio. 14.1.2 Continuidad del negocio y evaluacin del riesgo. 14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la Informacin. 14.1.4 Marco referencial de la planeacin de la continuidad del negocio. 14.1.5 Prueba, mantenimiento y re-evaluacin de los planes de continuidad del negocio. b) ITIL-"ITInfrastructureLibrary": es un conjunto de publicaciones para las mejores prcticas en la gestin de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas segn necesidades, circunstancias y experiencia de cada proveedor de servicios. Dentro de su bloque "Service Delivery" contempla la "Gestin de la continuidad del servicio TI". c) ISO/IEC20000: primer estndar internacional certificable para la gestin de servicios TI. Proviene del estndar britnico BS 15000. Incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora, fue inicialmente desarrollada para indicar las mejores prcticas contenidas dentro del marco ITIL. d) NIST(NationalInstituteofStandardsandTechnology): es un organismo federal no regulador que forma parte de la Administracin de Tecnologa del Departamento de Comercio de los EE.UU. cuya misin es la de elaborar y promover patrones de medicin, normas y tecnologa. En su

 FUOC PID_00156355

28

La continuidad del negocio

publicacin 800-34 (Contingency Planning Guide for Information Technology Systems ) de su serie 800 desarrolla una gua para el desarrollo de planes de contingencia de los sistemas de informacin. Es una excelente gua de referencia. e) PAS77(PubliclyAvailableSpecification): ITServiceContinuityManagementCodeofPractice. Desarrollado por el British Standard Institution, fue el paso previo al desarrollo del BS 25777 Gestin de la continuidad TIC. f) BS25999paralagestindelacontinuidaddelnegocio: aunque ste es el estndar que desarrollaremos a fondo ms adelante, podemos decir que actualmente es el estndar de referncia para la gestin de la continuidad de negocio (evolucin del PAS 56 - Guide to Business Continuity Management). Consta de dos partes: Parte1(BS25999-1)Cdigodeprctica: establece el proceso por el cual una organizacin puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prcticas de BCM (Business Continuity Management). Parte 2 (BS25999-2) Especificacin: especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestin de continuidad de negocio documentado en el contexto de la gestin global de riesgos de una organizacin. A partir de esta norma pueden ser certificados los sistemas de gestin de continuidad de negocio. Es importante remarcar que esta norma, al igual que otras normas actuales, usa el ciclo "Plan-Do-Check-Act" (PDCA Planificar Hacer Comprobar Actuar) para la mejora continua del sistema de gestion de la continuidad de negocio de las organizaciones. g) BS25777:2008InformationandCommunicationstechnologycontinuityManagementCodeofpractice: norma que sustituye al PAS 77 y que aporta las recomendaciones necesarias para asegurar que las TIC y los servicios puedan recuperarse en unos tiempos aceptables por la direccin de la organizacin. Es un estndar ms concreto que la 25999 y entra en detalles (como por ejemplo, hablar de centros alternativos, procedimientos especficos de TIC). Se prev en breve la publicacin de una segunda parte de especificacin (en la misma lnea que la BS25999-2). h) ISO24762:2008GuidelinesforInformationandCommunications technologydisasterrecoveryservices: focalizada en la recuperacin de desastres. i) SS507BusinessContinuity/disasterrecovery(BC/DR)serviceproviders: es un estndar de Singapur que especifica los requerimientos que de-

 FUOC PID_00156355

29

La continuidad del negocio

ben cumplir aquellas organizaciones que ofrecen servicios de continuidad de negocio/recuperacin de desastres. j) COSO-EnterpriseRiskManagement: Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definicin comn de controles internos, normas y criterios a partir de los cuales las empresas y organizaciones pueden evaluar sus sistemas de control. Todas ellas hacen referencia, en mayor o menor medida, a aspectos organizativos y tcnicos para salvaguardar los activos de una organizacin (informacin, personas, infraestructuras). A modo de ejemplo, y para comprender la repercusin de no disponer de planes de continuidad y contingencia, la Unin Europea requiere de la disponibilidad de planes de continuidad en determinadas administraciones pblicas para ofrecer fondos de ayuda europeos. En estos casos algn organismo pblico pondra en peligro una ayuda econmica por no disponer de un plan? Esto nos demuestra que los organismos pblicos de ms responsabilidad son muy conscientes de la importancia de este tema. Se profundizar ms en cada una de ellas en el Anexo: Normas y estndares que tratan la continuidad del negocio. 5.3. Estado del arte Una vez vista la evolucin de los planes de continuidad en su breve historia, consideramos interesante comprender cul es la situacin real de las empresas sobre la base de estudios realizados por prestigiosas organizaciones del sector. Mostramos a continuacin algunos indicadores: Tiempos de inactividad de la organizacin a causa de eventos inesperados.

 FUOC PID_00156355

30

La continuidad del negocio

Figura 15

Fuente: Encuesta global de seguridad 2008 realizada por PriceWaterhouseCoopers

Empresas que incluyen la continuidad de negocio en su poltica de seguridad.

Figura 16

Fuente: Encuesta global de seguridad 2008 realizada por PriceWaterhouseCoopers

Empresas que dedican recursos a actividades de continuidad de negocio y contingencia (2008)

 FUOC PID_00156355

31

La continuidad del negocio

Figura 17

Qu rea funcional de la empresa de su organizacin lidera los planes de continuidad de negocio?

Figura 18

Fuente: Ernst&Young's 2008 Global Information Security Survey

Encuesta realizada por la empresa Sungard (2009) para determinar el conocimiento e importancia que los ejecutivos de la empresas dan a la continuidad de negocio para conseguir el xito empresarial.
"El estudio muestra que los responsables de tomar decisiones sobre informtica y sobre la empresa quieren las mismas cosas: evitar prdida de productividad y el impacto negativo sobre la satisfaccin del cliente que pueden derivarse de las interrupciones imprevistas", dice Patrick Doherty, vicepresidente ejecutivo y director de marketing de SunGard Availability Services. "Pero hay una distancia significativa entre esos grupos acerca de cmo lograr dicho objetivo. En gran medida se debe a que la empresa no relaciona el requisito de mantener disponibles los sistemas y aplicaciones de informtica fundamentales con el xito global de la compaa. Los sistemas informticos todava son vistos como una 'caja negra' por muchos directivos, especialmente cuando se trata de la dependencia entre sistemas que afectan a la disponibilidad global".

 FUOC PID_00156355

32

La continuidad del negocio

El resultado de la encuesta pone de manifiesto el desalineamiento que existe todava entre el negocio y el rea tecnolgica por lo que se refiere a continuidad de negocio y recuperacin frente a desastres.

 FUOC PID_00156355

33

La continuidad del negocio

6. Relacin entre la gestin de planes de continuidad y la gestin de riesgos

Incorporamos este apartado para esclarecer la relacin que existe entre los planes de continuidad y la gestin de riesgos. La gestin de riesgos tiene un alcance mucho ms amplio que la gestin de la continuidad de negocio. Mientras que la primera est presente en todas las decisiones y actividades de una organizacin, la segunda se focaliza exclusivamente en aquellos riesgos que tengan relacin con la continuidad del negocio. La gestin de riesgos trata todo tipo de riesgos, mientras que la continuidad del negocio se centra en aquellos riesgos que puedan provocar la interrupcin de sus procesos ms crticos. La gestin de riesgos permite tratar los riesgos de forma proactiva, con el objetivo de mitigar, aceptar o transferirlos. La gestin de la continuidad del negocio es un proceso ms enfocado a gestionar el riesgo residual, y por lo tanto, podemos considerar los planes de continuidad como controles reactivos para gestionar el riesgo.
Figura 19

Incluimos a continuacin una tabla comparativa para entender mejor que la gestin del riesgo y la gestin de la continuidad siguen mtodos y alcances diferentes (pero estrechamente relacionados):

 FUOC PID_00156355

34

La continuidad del negocio

Tabla 1. Comparativa entre la gestin del riesgo y la gestin de la continuidad Gestin de riesgos Gestin de la continuidad de negocio Anlisis de impacto o Business Impact Analysis (BIA) Impacto y tiempo

Mtodoclave Parmetros clave Tipodeincidente Magnituddel incidente Intensidad

Anlisis de riesgo

Impacto y probabilidad

Todo tipo de eventualidades

Acontecimientos causantes de trastornos serios en el negocio Slo los incidentes que afectan a la supervivencia del negocio (afectan a los procesos crticos) Acontecimientos sbitos o de rpida evolucin (aunque es posible que la respuesta tambin resulte apropiada si un incidente persiste y se transforma en severo)

Todos los eventos que afecten a la organizacin

Todas, desde graduales hasta sbitos

La gestin de la continuidad del negocio est enfocada en la gestin de riesgos para garantizar que, en cualquier circunstancia, la organizacin pueda seguir operando al menos a un determinado nivel. Esta gestin incluye la reduccin del riesgo a un nivel aceptable y la planificacin para recuperar los procesos de negocio en caso de que se produzca un desastre.

 FUOC PID_00156355

35

La continuidad del negocio

7. Enfoque de los planes. Terminologas

Dentro del sector de la continuidad a menudo se cometen errores terminolgicos motivados por la elevada variedad de trminos y acrnimos que se utilizan. En este apartado tratamos de aclarar el significado y alcance de diferentes trminos relacionados con la continuidad y recuperacin del negocio. Disasterrecoveryplan(DRP). El DRP es una estrategia planificada en fases, cuyo objetivo es recuperar todos los servicios relacionados con las tecnologas de la informacin y la comunicacin y los recursos que los conforman, en el menor tiempo posible, a partir de un evento que ocasiona una interrupcin mayor en su funcionamiento. Businessresumptionplan(BRP). El objetivo del BRP es tratar de reanudar todos y cada uno de los procesos de negocio que posee la organizacin y que se hayan podido ver afectados por un fallo o incidente en las diferentes aplicaciones IT que los conforman. Continuityofoperationsplan(COOP). El objetivo del COOP es tratar de conseguir la recuperacin de las funciones estratgicas de una organizacin que son desempeadas en sus instalaciones corporativas. Contingencyplan(CP). El objetivo del CP es tratar de conseguir la recuperacin de los servicios y recursos de TI despus de un desastre que provoca una interrupcin mayor en su funcionamiento. Altadisponibilidad(AD). Medidas para aportar un nivel de redundancia en sistemas de informacin considerados crticos para la organizacin. Emergencyresponseplan. Estos planes tratan de conseguir la salvaguarda del personal de la organizacin, del pblico, del medio ambiente, as como del resto de activos de la organizacin ante una situacin de desastre. Business continuity plan (BCP) o Plan de continuidad de negocio (PCN). El PCN es un conjunto estructurado por planes de actuacin, planes financieros, planes de comunicacin, planes para la gestin de crisis, etc., destinados a "mitigar el impacto" provocado por la concrecin de determinados riesgos sobre la informacin y los procesos de negocio de una organizacin. Los PCN intentan dar respuesta a situaciones que no han podido ser evitadas por las medidas de seguridad implantadas por la organizacin. Un PCN est formado por N planes: Planes de activacin. Planes de recuperacin de reas de negocio.

 FUOC PID_00156355

36

La continuidad del negocio

Planes de recuperacin de infraestructuras (sistemas de informacin, comunicaciones, etc.). Planes de traslado y gestin de recursos humanos de la empresa. Planes de evacuacin. Etc. (todos aquellos que la organizacin precise para recuperar su negocio lo antes posible ante una situacin de contingencia).

Businesscontinuitymanagement(BCM)oGestindelacontinuidad delnegocio(GCN). La gestin de la continuidad del negocio es el punto central de un conjunto de actividades que se desarrollan en la organizacin con el objetivo de garantizar la continuidad de los procesos de negocio de la misma y que afectan a personas, edificios, sistemas de informacin, etc. Esta gestin establece los procedimientos, estructura organizativa y herramientas de soporte necesarias para garantizar que los planes de continuidad y recuperacin sean vlidos y efectivos frente a situaciones de contingencia

Para comprender algunos de estos conceptos tan importantes en continuidad de negocio, incluimos un esquema que ayudar a comprender mejor la relacin existente entre estos. Como se aprecia, el concepto que abarca todos los dems conceptos es la gestin de la continuidad de negocio. Dentro de esta gestin se desarrollan todos los planes necesarios para garantizar la recuperacin del negocio, y a un nivel ms bajo, se desarrollan procedimientos de recuperacin tecnolgicos para la recuperacin TI ante un desastre.
Figura 20

 FUOC PID_00156355

37

La continuidad del negocio

Resumen

Como resumen de este mdulo, hacemos algunas observaciones clave sobre la continuidad del negocio: El terrorismo, los desastres naturales, las epidemias, los problemas de suministro elctrico de los ltimos aos ponen de manifiestos que las organizaciones no pueden considerar el "fallo" como una opcin. Las empresas deben decidir si asumen o no tales riesgos. El desarrollo de planes de continuidad es una opcin para dar respuesta a estos riesgos.
Figura 21

Incorporar la "continuidad de negocio" dentro de la cultura de la organizacin es un proceso crtico para asegurar que los planes son conocidos, son efectivos y estn al da. Para ello las organizaciones deben definir de forma clara los roles y responsabilidades del personal que participar, as como establecer un plan riguroso de formacin, comunicacin, mantenimiento y pruebas que garantice su xito.

 FUOC PID_00156355

38

La continuidad del negocio

Figura 22

La aproximacin de la continuidad de negocio a un estndar asegura la consistencia y facilita su cumplimiento. Como hemos visto, existen y estn apareciendo estndares que proporcionan un framework para el aseguramiento de la consistencia del plan.

Figura 23

Hay que tener presente que la demanda en planes de continuidad ser ascendente con la aparicin y aplicacin de medidas regulatorias (como hasta el momento la SOX, Basilea 2, etc.). Estas regulaciones estn empujando a las organizaciones a adoptar soluciones de continuidad.

La continuidad de negocio proporciona una ventaja competitiva. Por esta y otras razones indicadas, hay que entender el plan como una inversin y no como un gasto.

 FUOC PID_00156355

39

La continuidad del negocio

No olvidar que la continuidad de negocio no es continuidad TIC. Contempla: Personas Edificios, reas de trabajo Centros de procesos de datos y salas tcnicas Proveedores de servicios Sistemas de informacin Transporte Etc.

La continuidad de negocio se debe encontrar siempre dentro de un proceso de mejora continua para la gestin de los riesgos de la organizacin.

Debe orientarse a recuperar los procesos de negocio crticos de la organizacin.

Debe estar diseado para integrarse con el resto de elementos de seguridad de la organizacin.

Debe servir para automatizar un conjunto de tareas de manera que se evite tener que planificarlas en momentos de crisis.

Es importante conocer los costes del "downtime" o tiempo de interrupcin.